Datenklau kompromittierte "nur" 1,5 Millionen Kreditkarten
Der Zahlungsdienstleister Global Payments versichert, von dem Hackerangriff im März seien maximal 1,5 Millionen Karten betroffen und nimmt weiter an, dass keine personenbezogenen Daten gestohlen wurden.
- Gerald Himmelein
Beim Einbruch in die Infrastruktur des Zahlungsabwicklers Global Payments seien nicht mehr als 1,5 Millionen Datensätze abgegriffen worden, versichert das Unternehmen in einer aktuellen Stellungnahme. Betroffen sind ausschließlich Visa- und MasterCard-Kunden aus Nordamerika.
Im April musste der US-amerikanische Zahlungsdienstleister öffentlich zugeben, dass Unbekannte in die Computersysteme des Unternehmens eingedrungen waren und sich Zugang zu einer großen Zahl an Kreditkartendaten verschafft hatten. Der Einbruch fand Anfang März statt.
Nach einer internen Analyse kommt Global Payments zu dem Schluss, es seien maximal 1,5 Millionen Kartennummern betroffen. Man gehe weiterhin davon aus, dass nur Track-2-Daten gestohlen wurden. Der "Track 2" des Magnetstreifens speichert ausschließlich numerische Daten wie die Kartennummer und das Ablaufdatum, aber keine weiterführenden Daten wie etwa der Name des Karteninhabers.
Das Unternehmen geht davon aus, dass nicht alle 1,5 Millionen Karten kompromittiert wurden. Man habe den Kreditkartenunternehmen nur vorsichtshalber alle potenziell betroffenen Nummern zur Verfügung gestellt, damit Unternehmen "die Aktivitäten der Karteninhaber proaktiv beobachten können". Global Payments erklärte, dass sie womöglich noch weitere Kartennummern zur Beobachtung weiterreichen wollen.
Nach wie vor macht Global Payments keine klaren Aussagen, ob die Eindringlinge zusätzliche personenbezogene Informationen von Webmastern erbeutet haben, die das Unternehmen als Dienstleister nutzen. Ausschließen mag das Unternehmen diese Möglichkeit jedenfalls nicht: Die Stellungnahme kündigt an, man werde "potenziell betroffene Personen" in Kürze mit "hilfreichen Informationen" kontaktieren und ihnen eine kostenlose "Identity Protection Insurance" anbieten, also eine Versicherung gegen Identitätsdiebstahl.
In der Stellungnahme entschuldigt sich der CEO von Global Payments für den Zwischenfall und zeigt sich zuversichtlich, dass der Fall damit abgeschlossen ist. Ende Juli will das börsennotierte Unternehmen seinen Aktionären zum Jahresabschluss eine endgültige Zusammenfassung des Zwischenfalls und die daraus gezogenen Lehren präsentieren. Nach Abschluss der Ermittlungen will sich der Zahlungsdienstleister bei MasterCard und Visa wieder um eine Zertifizierung als "PCI DSS Compliant Service Provider" bewerben: Die Kartenanbieter hatten dem Unternehmen nach Bekanntwerden des Einbruchs die Zertifizierung entzogen. (ghi)
